Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

System kompromitiert - Viren mitgebackuped o. nich ..hach...

pasckal / 5 Antworten / Baumansicht Nickles

Hallo liebe User!

Vor einiger Zeit habe ich genau dieses Posting schonmal abgesetzt, es gab damals irgendwie ein Datenbankproblem, daher: Neues Glück.


Es klingt jetzt etwas doof, aber ich würde euch bitten, wenn ihr mir helfen wollt, genau zu lesen, da viele Details drinnen stecken und man sonst schnell voreilig den Schluss ziehen kann, dass das System, von dem ich spreche, in jedem Fall kompromitiert war.

Dann wollen wir mal:

Es ist nun mittlerweile 2-3 Wochen her, da hat sich folgendes ereignet:

Ich besitze die Original CD Version des alten Spieles Need for Speed 4 Brennender Asphalt. Das Game läuft offiziell nur unter Windows 9X und nicht unter Windows 2000,
was ich besitze. Es gab vor langer Zeit, etwa 6 Jahren, als das Game noch aktuell war, einen Workaround, wie man es dennoch unter Windows 2K zum laufen bringen konnte.
Der Tipp lässt sich im übrigen auch im Archiv von Nickles wiederfinden! Mittlerweile existiert der Tipp nicht mehr auf der Seite, von der er offiziell stammt, nfs2000 ist mittlerweile dicht und widmet sich nicht mehr Need for Speed. Damals also wars ein beliebter Trick, es zum Laufen zu kriegen, indem man einen sogenannten NO-CD Patch installierte, der dazu führte, dass (trotzdem man in Besitz einer OriginalCD war) die CD nicht geprüft wurde, so dass man unter Windows 2000 auch spielen konnte, indem man alles auf die Festplatte kopierte - soviel dazu.

Nungut, diese Datei gibts also schon seit besagten 6 Jahren oder sogar länger im Netz, wurde immer gern verwendet, um eben Need for Speed zum Laufen zu kriegen.


An einem Urlaubstag hats mich überkommen und ich wollte unbedingt mal wieder das angestaubte Game spielen. Da die CD, auf die ich vor 6 Jahre den Patch gebrannt habe, defekt war, nicht mehr lesbar, da ein billiger Rohling, lud ich die besagte NoCD Patch Datei aus dem Netz.

Hier ist nun die besagte Datei, ich habe sie mal so geschrieben, dass sie nicht aktiv wird. Es handelt sich um die Datei, die man braucht, um Need For Speed zum Laufen zu kriegen.

h**p://anca.lenoble.chez-alice.fr/Telechargement/win2k_comp2001.zip

Gibts auch noch anderweitig im Netz.

Nun habe ich Need For Speed installiert, lief wunderbar. Mein lokal installiertes Antivir meckerte nicht. Leider bin ich später dann auf die Idee gekommen, das Ding mal online prüfen zu lassen. Es kam folgendes Ergebnis:



Datei: win2k_comp2001.zip
Auslastung: 0% 100%

Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found

A-Squared Keine Viren gefunden
AntiVir HEUR/Malware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden










----------------
Virustotal.com Ergebnis

AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.25 HEUR/Malware
Authentium 4.93.8 2007.08.25 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.25 -
BitDefender 7.2 2007.08.26 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.26 -
DrWeb 4.33 2007.08.26 -
eSafe 7.0.15.0 2007.08.23 Suspicious Archive Structure
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.25 -
FileAdvisor 1 2007.08.26 -
Fortinet 2.91.0.0 2007.08.26 -
F-Prot 4.3.2.48 2007.08.25 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.26 -
Kaspersky 4.0.2.24 2007.08.26 -
McAfee 5105 2007.08.24 -
Microsoft 1.2803 2007.08.26 -
NOD32v2 2484 2007.08.25 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.26 -
Prevx1 V2 2007.08.26 -
Rising 19.37.62.00 2007.08.26 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.26 -
TheHacker 6.1.9.173 2007.08.26 -
VBA32 3.12.2.3 2007.08.26 -
VirusBuster 4.3.26:9 2007.08.25 -
Webwasher-Gateway 6.0.1 2007.08.26 Heuristic.Malware




So, ich war natürlich geschockt. Warum? Weil erst am Abend ein Backup angesagt war (mache täglich Backups wichtiger veränderter Dateien). Das System verhielt sich keineswegs "komisch" oder dergleichen, die gleiche No CD Patch Datei hatte ich ja auch schon vor 6 Jahren installiert, um bereits damals unter Win2000 Need for Speed spielen zu können.


Aber ich war trotzdem verunsichert. Was tun? Hmm, also gleich mal die Datei runtergeschmissen.

Ich habe die Datei zuvor an Antivir gesendet, um sie prüfen zu lassen. Antivir bestätigte mit folgender Message:

Dateiname Größe (Byte) Ergebnis
win2k_comp2001.zip 274.24 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Dateiname Größe (Byte) Ergebnis
3dsetup.ini 316 Byte CLEAN
3DSetup.exe 300 KB CLEAN
3dsetup.ini 331 Byte CLEAN
3ddata.dat 574 Byte CLEAN
3DSetup.exe 300 KB CLEAN
readme.txt 5.7 KB CLEAN
NFS444_NoCD.exe 8 KB FALSE POSITIVE
3d_fix.reg 726 Byte CLEAN

Dateiname Ergebnis
NFS444_NoCD.exe FALSE POSITIVE

Die Datei 'NFS444_NoCD.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird nicht entfernt werden da es sich um eine nicht reguläre Software handelt welche für die Umgehung von Schutzmechanismen in Computerprogrammen verwendet wird. Sollte ein virulenter Inhalt bzw. böswillige Eigenschaften festgestellt werden, wird diese Datei in die Erkennung in einer der nächsten VDF Update aufgenommen. Sollte bereits eine Erkennung seitens AntiVir vorliegen, wird diese nicht geändert oder angepasst.



Es fing schon damit an, dass ich die Message von Antivir nicht wirklich verstehe. Soweit ich verstehe, handelt es sich also nicht um einen Virus, aber Antivir stuft das Ding halt als Crack ein, was in gewisser Weise auch ok ist, da tatsächlich die ständigen Zugriffe auf CD verhindert werden, man kann die CD auf die HDD kopieren und so spielen. Das hat ja wie gesagt, den Sinn, dass man auch unter Win2000 spielen kann, wieso auch immer, nur so funktionierte der Workaround.




So und nun zum wichtigen, das obige war die Vorgeschichte



Ich habe, nachdem ich NFS4 deinstalliert und die obige besagte Datei gelöscht hatte, mit meiner externen Wechselfestplatte (mit einem VIPower Wechselrahmen verbunden), die ich nur zum Backuppen habe, also nicht laufend im System, sondern die liegt in einem Regal - diese eingelegt und wichtige .JPEG und .AVI Dateien, sowie .DOC Dateien gesichert, die noch auf meiner Partition D:\ Daten lagen und ich erst am Tag erstellt hatte und zwingend brauchte. Auf der Wechselfestplatte lag auch mein sauberes Image von Acronis True Image, allerdings in einem anderen Ordner auf einer anderen Partition meiner großen Wechselfestplatte. Die Image Datei ist für Windows unbekannt, da Acronis nicht installiert war, das brauche ich fürs Wiederherstellen meines Images nicht, ich verwende dazu nämlich die Boot CD von Acronis, die ich einlege und die unter einer eigenständigen Oberfläche zulässt, das Image aufzuspielen. Also die Datei war unbekannt im Format für Windows 2000.


Soderle, dieses war dann das, was mir Kopfschmerzen bereitet. Und zwar habe ich dann anschließend erstmal die Platte platt gemacht und mein sauberes Image aufgespielt, was auch wieder tadellos lief. Die gesicherten Daten hab ich zurückgespielt. Also - nehmen wir an das System war tatsächlich kompromitiert, so habe ich also jetzt mal weitergesponnen von einem verseuchten System meine Bilder und Videos, sowie DOC Daten gesichert und nach dem Aufspielen des frischen Images wieder auf meine Datenplatte, die ich natürlich zuvor auch platt gemacht hatte, aufgespielt. Hmm, da ich dann sehr sehr unsicher war, habe ich die Daten Stichprobehalber, also JPEG und AVI sowie DOC mal Stichprobehalber online hochgeschickt und sie waren (natürlich) alle clean, eigentlich hab ich auch nichts anderes erwartet, dass der eventuelle Virus dieser No CD Patch Datei meine Bilddaten zerstört oder verseucht (letzteres wäre schlimmer).

Nunja, ich habe mein System nun mal mit Kaspersky durchscannen lassen (der Testversion von deren Hompeage) und anschließend, nachdem ich Kaspersky wieder deinstalliert hatte, hab ich hijackthis mal drüberlaufen lassen und Antivir mit hoher Heuristik. Nix gefunden - alle nicht.


Ich hab irgendwie ein Unwohlsein - und ich hoffe um euer Verständnis.


Ich bin da etwas allergisch, weil ich empfindlich bin, was Sicherheit und Co angeht. Bin ich paranoid, bin ich zu vorsichtig, bin ich zu misstrauisch oder was haltet ihr nun vom Vorfall? Kann ich beruhigt meine alten (vom im Extremfalle nicht erkannten, aber kompromitierten) System gesicherten Daten weiterverwenden .....


Hoffentlich könnt ihr mir helfen

bei Antwort benachrichtigen
Hoinerle pasckal „System kompromitiert - Viren mitgebackuped o. nich ..hach...“
Optionen

Hi

Sorrry,aber

Wenn ich Du wäre, würde ich das ausführlich meinem Haus und Hofpsychiater erklären....... *fg*

Ausserdem würde ich das Ganze nochmals überprüfen. Man kann schliesslich nicht wissen. was passierte , als Du die paar Sachen online hast prüfen lassen.

Warum fällt mir da Monk ein.......*grübel*


GRuss Hoinerle

bei Antwort benachrichtigen
shrek3 pasckal „System kompromitiert - Viren mitgebackuped o. nich ..hach...“
Optionen

Hallo Pasckal,

so ängstlich einerseits - und gleichzeitig bereit, sich im Untergrund einen Crack zu holen...
Was muss das ein Thrill für dich gewesen sein.. ;-)

Was soll ich zu deiner Frage sagen?
Eigentlich hast du doch alles an Infos, was du brauchst, um die Sache einschätzen zu können.

Selbst AntiVir hat dich darüber aufgeklärt, weshalb eine Warnmeldung auftaucht...

Den Rest solltest du mit glasklarer Logik beantworten können.
Und dann bleib dabei.

Schmeiß sie dann nicht wieder über den Haufen, indem du dir dann sagst: Also - nehmen wir an das System war tatsächlich kompromitiert, so habe ich also jetzt mal weitergesponnen von einem verseuchten System

Gruß
Shrek3

Danke für deinen Beitrag - es war aufschlussreich, zu erfahren, wie AntiVir im Gegensatz zu anderen Herstellern "saubere" Cracks bewertet.

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
pasckal Nachtrag zu: „System kompromitiert - Viren mitgebackuped o. nich ..hach...“
Optionen

Hallo euch!

Nunja, der sogenannte Crack war ja im Endeffekt garkeiner, denn die Need for Speed CD an sich war schon kopiergeschützt, so dass man die originale brauchte, um Need for Speed überhaupt zu installieren.

Aus eben genau der Antivir meldung werde ich nicht schlau, natürlich ist es ein Programm, was irgendwo einen Pfad ausschaltet, der hin zur CD prüft, doch so zum Status "schädlich" gehört ja noch mehr, schädlich ist sowas ja nicht unbedingt, natürlich ist es nicht ok und Antivir kennt die Datei und den Hintergrund, dass man sie eigentlich ohnehin nur verwendet, um die Software unter W2000 zum Laufen zu bringen, nicht und wertet eben als "nicht legales Tool". Nunja, mag sein wie es will - nur halt - ist ein nicht legales Tool oder als was auch immer Antivir das Ding bezeichnet, immer gleich System-/Dateischädigend? Darum gehts mir eigentlich primär. Da ich Need For Speed ohnehin mit diesem Spiel nie wieder spielen werde, hat sich die Frage dieses Tools in seiner Daseinsberechtigung auch für mich erübrigt.

Meine Need for Speed CD ist natürlich original, sie ist uralt, ich werde sie aber über Ebay verhökern oder wegschmeißen, da ich absolut keinen Platz mehr für CDs habe.


Die Sache mit dem Psychater nehme ich nicht in der Hinsicht persönlich, dass ich beleidigt bin, sondern vielmehr als guten Rat, dass ich also tatsächlich zu empfindlich oder zu hysterisch bin, hoffe, damit richtig zu liegen.

bei Antwort benachrichtigen
Hoinerle pasckal „Hallo euch! Nunja, der sogenannte Crack war ja im Endeffekt garkeiner, denn die...“
Optionen

@Pasckal

Du hast das vollkommen richtig verstanden - wollte Dich nicht beleidigen , sondern nur ein bisschen hochnehmen.

Man kann sich nun mal nicht gegen alles absichern

Gruss Hoinerle

bei Antwort benachrichtigen
|dukat| Hoinerle „@Pasckal Du hast das vollkommen richtig verstanden - wollte Dich nicht...“
Optionen

Man könnte das vielleicht paranoid bezeichnen, ja. Aber mit einem lachenden Auge.
Mit der Einstellung wird Dir wohl nie jemand ein Pferd unterjubeln können.

Die Antwort zum Problem steckt aber hier:
Die Datei 'NFS444_NoCD.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird nicht entfernt werden da es sich um eine nicht reguläre Software handelt welche für die Umgehung von Schutzmechanismen in Computerprogrammen verwendet wird. Sollte ein virulenter Inhalt bzw. böswillige Eigenschaften festgestellt werden, wird diese Datei in die Erkennung in einer der nächsten VDF Update aufgenommen. Sollte bereits eine Erkennung seitens AntiVir vorliegen, wird diese nicht geändert oder angepasst.

Da steht ganz klar, daß von der Datei keine Gefährdung ausgeht. Im folgenden wid erklärt, daß AV eine Meldung macht, da es sich um eine nicht reguläre Software handelt welche für die Umgehung von Schutzmechanismen in Computerprogrammen verwendet wird.
Was ja logisch ist. Das ist schliesslich die Funktion des Programms.
Falscher Alarm also.

bei Antwort benachrichtigen